Infowatch veröffentlicht Liste von Datenpannen deutscher Unternehmen und Behörden
Data Leakage in Deutschland - drei typische Ursachen
Nachdem Infowatch im Juni 2012 seinen jährlichen Data-Leakage-Report vorgestellt hat, veröffentlicht das Security-Unternehmen nun eine Liste mit Datenpannen in Deutschland. Die Beispiele machen deutlich, dass viele solcher Pannen mit Datenverlust meist grob fahrlässig und nicht vorsätzlich geschehen, so das Unternehmen.
Iron-Mountain-Studie: Mitarbeiter weg – Daten weg
Antivirus 7.0 für Windows-Datei-Server
Bedrohungen via Dashboard im Blick
Dell: Jedes dritte deutsche Unternehmen verzichtet auf einen wirksamen Datenschutz
Aus den zusammengetragenen Fällen geht hervor, dass die wirklich folgenschweren Vorfälle im Jahr 2011 eher im Ausland und nicht in Deutschland geschahen. Dies ist allerdings nicht sonderlich beruhigend, da deutsche Unternehmen ihre Daten häufig von externen Dienstleistern im Ausland hosten lassen.
Laut Natalya Kaspersky, CEO von Infowatch, leisten sich viele Betriebe durch den einzig nach außen gerichteten Schutz interne Anwendungsfehler oder grobe Fahrlässigkeiten. Mit der Liste der Vorfällen in Deutschland sollen sich Unternehmen ein Bild machen, welche Ursachen Data Leakages haben können und was sie dagegen unternehmen können.
Erster Fall: Anwenderfehler beim E-Mail-Versand
Zahlreiche Fälle ließen sich auf Anwenderfehler beim Umgang mit E-Mails zurückführen. Meist schrieben Mitarbeiter versehentlich Empfänger statt in das BCC-Feld in die Empfängerleiste oder leiteten vertrauliche Informationen per Mail weiter. Diese Fehler geschehen nicht absichtlich. Da Sicherheitssoftware sie jedoch meist nicht umfasst, können sich die Fehler zu Problemen entwickeln.
Als Beispiel nennt Infowatch einen Fall, der sich im Jahr 2011 abspielte. Ein großer Lebensmittelkonzern suchte Fachkräfte und schrieb diese Stellen öffentlich aus. Im Rahmen des Bewerbungsverfahrens schrieb man alle Bewerber in einer Sammel-Mail an. Kritisch ist dies, weil eventuell auch der bisherige Arbeitgeber auf diesem Weg von einer Bewerbung erfahren könnte. Dies könne letzten Endes die Kündigung des bestehenden Arbeitsverhältnisses zur Folge haben. Insgesamt standen über 200 Empfängern in der Adresszeile dieser E-Mail. Zynischerweise informierte das Unternehmen die Bewerber in der entsprechenden Nachricht über geänderte Datenschutzbestimmungen.
Zweiter Fall: Versehentliche Veröffentlichung im Internet
Websites lassen sich zunehmend generisch erstellen, um es auch Laien zu ermöglichen, ohne große Vorkenntnisse Inhalte zu bearbeiten. So reicht es beispielsweise in vielen Fällen aus, Daten nur in ein bestimmtes Verzeichnis zu kopieren, damit das Web-System diese in die Homepage einbindet. Dies erkläre auch die hohe Zahl von fälschlicherweise online verfügbaren Datensätzen. In vielen Fällen waren durch Copy und Paste oder durch fehlerhafte Lese-Schreib-Berechtigungen Daten online einsehbar, die teils mehrere Tage lang online verblieben, bis die Verantwortliche den Fehler bemerkten. DLP-Software ist in der Lage, zwischen sensiblen und unsensiblen Speicherbereichen zu unterscheiden. Ebenso kann DLP-Software sensible von unsensiblen Daten unterscheiden. In der einfachsten Form wäre ein Pop-Up mit einem Warnhinweis bereits ein wirksamer Schutz vor Data Leakage. Dennoch war auch dieser Datenkanal bei vielen Fällen von Data Leakage die Ursache..
So zählt das Security-Unternehmen in seinem Report ein rheinland-pfälzisches Ministerium auf, das fälschlicherweise Dokumente zu einem laufenden Untersuchungsausschuss auf der Website veröffentlichte. Neben Beraterhonoraren und Privatadressen waren somit für jeden auch anwaltliche Schreiben in diesem Zusammenhang einsehbar. Hintergrund war aller Wahrscheinlichkeit nach ebenfalls ein Anwenderfehler. Eine besondere Ironie bekommt der Fall durch den Umstand, dass die sensibelsten Daten nicht im Internet zu finden waren, weil die Datenschutzbestimmungen vorsahen, dass diese gar nicht in elektronischer Form einsehbar sein sollten. Ein zweifelhafter Ansatz, Datensicherheit dadurch zu erlangen, indem Daten nur in Papierform existieren.
Dritter Fall: Mangelhafte Entsorgung des Altpapiers
Seit Jahren ist das Altpapier eine der Hauptfundgruben für sensible und vertrauliche Daten. Weltweit wird etwa jeder fünfte verlorene Datensatz über das Altpapier entwendet. Die Situation sieht in Deutschland leicht besser aus. In dieser Hinsicht haben wir schärfere rechtliche Bestimmungen. DLP-Software ist in solchen Fällen nicht in der Lage, die korrekte Entsorgung des Altpapiers zu gewährleisten. Allerdings könne DLP sicherstellen, dass Anwender Daten gar nicht erst drucken können, die sie nicht notwendigerweise ausdrucken müssen,. Leistungsfähige DLP-Software kann dazu das Druckersignal selbst nach bestimmten Keywords durchsuchen, so Infowatch.
Beispielsweise fanden Bürger in Berlin im Jahr 2011 Unterlagen eines Berliner Vereins, der bis 2006 als Anlaufstelle für notleidende Berliner Bürger fungierte. Die im Müll gefundenen Papiere hatten die Mitglieder offenbar nach der Auflösung des Vereins weder akkurat gelagert noch ordnungsgemäß vernichtet. Die Unterlagen enthielten neben Namen und behördlichen Schreiben auch Informationen über Krankheitsverlauf, psychische Gutachten bis hin zu Missbrauchsfällen und Betreuungsbedarf. Offensichtlich hat man sich nach der Auflösung des Vereins recht preisgünstig mittels Papiermüll der Aktenberge entledigt.
Generell scheint die Situation in Deutschland verglichen mit anderen Ländern eher positiv bis entspannt, allerdings ist diese Einschätzung laut Infowatch mit Vorsicht zu genießen. Da es in Deutschland im Gegensatz zu Großbritannien oder den USA keine Veröffentlichungspflicht bei Fällen von Data Leakage gibt, tauchen viele Vorfälle in keiner Statistik auf.
Den vollständigen Bericht gibt es unter www.infowatch.ru/de/analytics/de-reports/2730.
Lesen Sie mehr zum Thema
